OWT2017JP / OWASP World Tour 2017 in Tokyo に参加してきました!

とても久しぶりのBlog投稿になります...。

9/30 (土) に、OWASP World Tour 2017 in Tokyo に参加してきました。

こちらのイベントは、たまたま職場の同僚に教えていただきました。
参加可能な人数が100人以上での募集ということと、ちょうど社内でセキュリティに関するちょっとした勉強会の担当をしていたので、家族に協力を得て参加申し込みをいたしました。

実は、申込み時点では枠がいっぱいだったのですが、あとから東工大以外にサテライト会場が複数提供となり、幸いにもサイボウズ様のサテライト会場にてお話しを伺うことができました。

* * * 

 さて、このイベントに参加...と言いつつ、実はOWASP、OWASP Japanがいったいどんな活動をしているのか、全く知りませんでした。(大変お恥ずかしい...)
同僚経由で「アプリケーションセキュリティに関するトレーニング」を受けることができるということだけが目に留まっての申込みでした。

なんだかんだで当日になりまして、サイボウズ様本社のある日本橋へ到着。

各会場の様子や、スピーカーの皆様の詳細な資料は、こちらのOWASP Japanのブログをご覧ください。

実際にイベントが始まり、ここ2、3年はイベント中は実況っぽいTweetをするタイプだったのですが、お話が進むにつれて「メモすることに集中しよう!」という路線に切り替えました。それくらいじっくり聴きたいお話だと思い直したわけです...。

実はセキュリティに関しては過去仕事でご縁があったのですが、部署が変わったりで離れておりまして、セキュリティ関連ではまずはJPCERTやIPAという認識はあったのですが、OWASPのことは知りませんでした。

今回、オープニングと最初の上野さまのお話で、OWASPがどういうことを行なっている組織なのか、ということを知りました。

以下は日本の公式ブログからの引用です。

OWASPとは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。
日本での活動開始は2011年。
このブログを書いているのは、イベントから二週間以上経過した時点です。
イベントのことを振り返ったり、ブログや資料を拝見しながら、書き起こしているところです。

OWASP Japanの活動の資料は、https://speakerdeck.com/owaspjapan (SpeakerDeck) にたくさん公開されています。
また、OWASP Night といった、Webセキュリティに関心がある方向けの勉強会を定期的に開催されているそうです。
以下も、公式サイトからの引用です。

OWASP Japanは、OWASP Night/Meetingとして、セミナーや持ち込みのライトニングトークの形で行われる、Webセキュリティに関心のある方が集う、楽しくカジュアルな勉強会を開催しています。スキル、役職、業種、国籍、性別、年齢関係なく、遠慮なくお越しください。およそ、三ヶ月に一度の頻度で、このミーティングを開催しています。

あまりまとまっていませんが、以下、9/30のイベントに関して、セッション順のメモを載せておきます。もし目にとめてくだって、何かの参考になれば幸いです。


 OWASPの歩き方 / 上野さん(OWASP Japan Chapter Leader) のセッションからのメモ

『岡田さん上野さんのご挨拶 & オープニングセッションから。非常にたくさんのプロジェクトが動いていますが、非営利。だからこそボランティアの力が必要で、教育啓蒙に加えOWASPのプレゼンスをアピールする機会は大切』



ここではじめて詳しくOWASPを知りました...。(ごめんなさい!)

そして、OWASP ZAPに代表されるツールは活動の一部であり、セキュリティ啓蒙やセキュアコーディングのためのガイドラインやサンプルコード、アセスメントのためのドキュメントの公開なども主な活動であることを知りました。




OWASP Top10を用いた脆弱性対応 / 安藤さま(株式会社オージス総研)のセッションからのメモ

『午前中印象に残ったところ、ちょっとだけ抜き出し。(ほかにも色々とおお!な所あります) ヤギさんも試したい。』

安藤様のセッションでは、OWASP Top10の具体的な紹介と、脆弱性を突いた事例として、SQL Injectionのデモを実施されていました。

また、セキュアコーディングについては、以下ような点をお話されていました。
  • WAF (Web Application Firewall) だけでは防ぎ切れない
  • 脆弱性の多くはプログラミングエラー、実装の工程で入り込んでしまったもの
  • 実装段階でも脆弱性検査を取り込んでいくのが大事
  • 開発者のスキルに依存するコードレビューや目視のチェックだけでは限界がある
  • 静的解析ツール(例:Synopsys社のCovert) やOWASP ZAPも使っていこう
  • 開発者が個々にセキュリティ対策を実施するだけでなく、全体としてレベルUPが大事
  • コストもかかるが損失が発生した場合の影響も考え、全体のトレードオフで、何をどれだけ守るのかを明確にすること



最小権限の具体的な実現方法 / 長山さん(株式会社神戸デジタル・ラボ)のセッションからのメモ

『午後2つめ長山様。色々あるけど大事な点。権限は守りたい情報、脅威になる情報が何かといった点から考えてる。必要な時は期間も絞る。画面だけ制御してて実はデータが取れちゃうなんてことが無いように。 (裏メニュー注文の図はわたしの理解から書いてみた)』


お話の主題は、『最小限の権限管理』について。
まず初めに、『自分の情報は誰に見られても問題ないよといった、オープンマインドな人もいるけれど、「見られたくない人もいる」ということをも考えること』と仰っていました。たしかに...。

上記の図以外でも色々とメモさせていただきましたので、覚えている限りで添えておきます。

  • 権限については、ツールでは「脆弱性」を見つけにくい
  • リクエストに対するレスポンスが想定しているものと違っていても、それが正しいのか誤りなのかはツールでは分からない(上位権限の情報が混ざっていたりとか)
  • 脆弱性としては見つけにくいが故に、リリース後に一般ユーザが特権ユーザのみに提供されるべき情報が見えてしまうのが発覚することがある
こういった権限まわりの脆弱性(というか権限チェックの考慮漏れ)に対して、OWASPで提唱しているのは以下の点。

  • 全てのリクエストはアクセス制御のチェックを通るべき
  • デフォルトは拒否(Deny from All) で、必要なもののみ追加で許可していく方針
  • 最小限・最短期間での権限設定
  • アクセス制御はプログラムにハードコードしない
  • 信用できない外部データを使わない(exp. xxx?role=admin みたいなリクエストパラメータで権限を切り替えるような実装はしない)
さらに、権限で守りたいものは「画面」ではなく「データ」なので、「データ」を中心にアクセス権限を考えていくことが大切とおっしゃっていました。

実装に関しては、自前で作り込むのは大変で漏れがあったりするので、既存のフレームワークをうまく利用するほうが良いとのことでした。

また、実装後、権限設定が適切かどうかのテストに関しては、より仕様を理解しているのでアプリケーションの開発者がテストを書く方が良いとのことでした。

この点に関しては、テスト作成の工数やドキュメント作成(権限表作成)の工数がかかるので、うまくソースコードのコメントや命名規約を使って自動でドキュメントが生成できるようにすると良いですよ、ともおっしゃっていました。



開発者・運用担当者に向けた、OWASP ZAPを用いた脆弱性診断手法 / 亀田さん(OWASP ZAP Evangelist、SCSK株式会社)のセッションからのメモ

『午後の亀田さんのZAPのお話。一気に自動テストでなく、細かくデバッグ用途でも使えそう。プロ目線でどういう診断すればいいかのノウハウも詰まったツールなので、これから学習する方にもとてもいい教材。日本語化頑張ってます!


亀田さまはOWASP ZAPのエバンジェリストとして、時間いっぱいにその機能を紹介してくださいました。

セキュリティ診断のツールとしてでなく、開発者側にとってもプロキシで通信をキャプチャし、デバッグするためのツールとしても有効とおっしゃっていました。



OWASP BWAを用いた学生および職員向けトレーニング / 松浦さん(東京工業大学)のセッションからのメモ

『午後の東工大、松浦先生のOWASP BWAを使った学生、職員向け演習のお話。噺家さんみたいにお話が面白かったですし、BWAそのもの以外に、どんなふうに教え導いていくかという点が語られていたのも惹きつけられました。』


松浦さまのお話は、OWASP Broken Web Applicationを使ったセキュリティ演習について。
大学職員や学生も、講義する教官側も、環境構築やデモアプリの構築といった点に時間を作ことなく、本来やりたい作業に集中しつつ演習ができるようにとOWASP BWAを利用されているとのことでした。

とてもお話が面白くテンポも良く、しかも学生を「教え導く」流れも非常によく考えられており、このセッションに関するTweetでは、同様のつぶやきが多かったように思います。


開発プロジェクトの現状を把握するOWASP SAMMの活用 / 伊藤さん(サイボウズ株式会社)のセッションからのメモ

『午後5コマ目の伊藤さん、OWASP SAMMのお話。その場ではメモで精一杯だったので、家でスライドやサイト見て書き起こしてます。これから大きくなろうとしてる企業にも、IT統制ガバナンス取り組まないといけない際の評価基準、ルール決めに使えそう。』

伊藤さまは、OWASP SAMMについてお話されました。
OWASP SAMMは、「より成熟したセキュア開発を支援するためのドキュメント&成熟度を定量化・可視化するためのツール」で、OWASPのフラッグシップのプロジェクトの1つです。

定量化・可視化については、地道にアプリケーション・サービスに関わるほぼ全てのロールの方々に地道にヒアリングを重ね、現状から3段階の数値評価に落とし込み、SAMMで定義した式に応じて成熟度を算出するというものでした。
このため、「まずはヒアリング計画が大事ですよ」とおっしゃっていたのが印象的でした。



クロージング:  シフトレフトへの道 / 岡田さん(OWASP Japan Chapter Leader)のセッションからのメモ

“ l joined World Tour 2017 Japan, and deeply impressed by these activities. So post my sketch to share and thank this valuable event. "



クロージングセッションは岡田さまから。
今回のOWASP Japanのトレーニングはどういう背景で実施されたのかといったところから、"SHIFT LEFT” という言葉に乗せて「次の工程に進む前にフィードバックや確認を挟むことの大切さ」をお話されていました。
さらに、各セッションのふりかえり、各サテライト会場の紹介を行なって下さいました。

とても想いの込もったお話が聞けて、本当に参加してよかったと感じました。

* * *

以上、あまり細かいテクニカルな内容までは書き留めたりできなかったのですが、少しでもイベントの雰囲気を掴んでいただけたり、参加者の皆様の振り返りにつながれば幸いです。

コメント

人気の投稿